최근 “LockBit” 랜섬웨어의 공격이 차단된 시스템에서 “3AM” 랜섬웨어로 공격을 시도한 정황이 발견됐다.
“3AM” 랜섬웨어는 Rust 언어를 사용하며 매개 변수로 공격을 설정할 수 있다. 공격을 시작하면 파일을 암호화하기 전에 보안 및 백업 관련 서비스를 종료하고 볼륨 섀도우 복사본을 삭제한다. 또한, 침투 테스트 도구인 Cobalt Strike와 사용자의 시스템 정책 설정을 확인하는 gpresult 명령을 사용하고, 원격 제어 도구인 PsExec를 사용해 권한을 상승시킨다. 이 외에도 whoami, netstat 및 wput 같은 명령어로 시스템을 정찰해 파일을 탈취하고, 지속성을 설정하기 위해 사용자를 추가하는 등의 공격을 한다. 이후 파일을 암호화해 파일명에 “.threeamtime” 확장자를 추가하고, 암호화 경로마다 “RECOVER-FILES.txt” 이름으로 랜섬노트를 생성한다.
보안 업체인 Symantec 측은 공격자가 단일 공격에 두 가지 종류의 랜섬웨어를 시도한 것은 처음이 아니라고 언급했다. 이어 “LockBit” 계열사가 대체 수단으로 사용했다는 점에서 향후 “3AM” 랜섬웨어를 다시 발견할 수도 있다고 덧붙였다.
사진 출처 : Symantec
출처
[1] Symantec (2023.09.13) – 3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit
'최신 보안 동향' 카테고리의 다른 글
| YouTube 앱을 사칭해 감시하는 CapraRAT 악성코드 (0) | 2023.09.21 |
|---|---|
| 스마트폰의 비밀번호를 훔치는 WiKI-Eve 공격 (0) | 2023.09.15 |
| 은행과 물류 산업을 노리는 Chaes 악성코드 변종 (0) | 2023.09.08 |
| 은행 계정을 탈취하는 MMRat 발견 (0) | 2023.08.31 |
| OfficeNote로 위장한 XLoader 악성코드 (0) | 2023.08.28 |